病毒播报:"网游窃贼"和"捆绑客"

【赛迪网-IT技术报道】在今天的病毒中Trojan/PSW.OnLineGames.bjkw“网游窃贼”变种bjkw和Trojan/Koblu.se“捆绑客”变种se值得关注。

英文名称：Trojan/PSW.OnLineGames.bjkw

中文名称：“网游窃贼”变种bjkw

病毒长度：25600字节

病毒类型：盗号木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：15ada7da71e53047517cdfb847052567

特征描述：

Trojan/PSW.OnLineGames.bjkw“网游窃贼”变种bjkw是“网游窃贼”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“网游窃贼”变种bjkw运行后，会在被感染系统的“%SystemRoot%system32”文件夹下释放经过加壳保护的恶意DLL组件“ZxddAE.dll”和“MzxEdAE.dll”，并创建配置文件“DXXsbA.dat”。安装完毕后，“网游窃贼”变种bjkw会将自我删除，以此消除痕迹。“网游窃贼”变种bjkw是一个专门盗取“问道”网络游戏会员账号的木马程序，运行后会在后台秘密监视系统中正在运行的所有进程。一旦发现网络游戏进程“asktao.mod”，则会利用安装消息钩子、内存截取、伪装游戏登陆窗口等方式盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点“http://ll**88.3322.org/fen15/post.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&sname=%s&money1=%d&money2=%d&igold=%d&line=%s&lines=%s&boxpass=%s&signpass=%s&ver=%s&flag=%s&mac=%s、http://123*fw.h001.028*is.cn/321qwe/zzzz/post.asp?suser=%s&spass=%s&serial=%s&sernum=%s&level=%d&sname=%s&money1=%d&money2=%d&igold=%d&line=%s&lines=%s&boxpass=%s&signpass=%s&ver=%s&flag=%s&mac=%s”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。“网游窃贼”变种bjkw会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。

英文名称：Trojan/Koblu.se

中文名称：“捆绑客”变种se

病毒长度：39424字节

病毒类型：木马

危险级别：★

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：932911ee01d17de94fa727caf94f7961

特征描述：

Trojan/Koblu.se“捆绑客”变种se是“捆绑客”家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，经过加壳保护处理。“捆绑客”变种se运行后，会与指定的IRC服务器“b*kq.com”、“js*ctiity.com”、“173.45.*.218”、“204.27.*.154”或“66.96.*.101”建立连接（端口8392），从而与服务器进行命令交互，以此达到远程控制的目的。根据服务器发送的指令，“捆绑客”变种se可执行下载恶意程序、修改注册表启动项和IE主页等操作，从而给用户造成更大的威胁。